ConfigManagement-Felder

Auf dieser Seite werden die verschiedenen Felder erläutert, die Sie in Ihrem ConfigManagement-Objekt festlegen können. Sie können dieses Objekt verwenden, wenn Sie Config Sync mit kubectl-Befehlen konfigurieren. Sie können diese Felder auch verwenden, wenn Sie Policy Controller mit einem ConfigManagement-Objekt anstelle der Policy Controller-gcloud-Befehle verwalten.

Konfiguration für Config Sync-Features

Schlüssel Beschreibung
spec.enableMultiRepo Bei true werden die RootSync und RepoSync APIs aktiviert. Diese APIs bieten Ihnen zusätzliche Config Sync-Funktionen wie die Synchronisierung aus mehreren Repositories. Und die Synchronisieurng von Kustomize- und Helm-Konfigurationen. Die Standardeinstellung ist false.
spec.preventDrift Bei true wird der Config Sync-Zulassungs-Webhook aktiviert, um Drifts zu verhindern, indem Änderungskonflike nicht an Live-Cluster übertragen werden. Die Standardeinstellung ist false. Config Sync korrigiert Drifts immer, unabhängig vom Wert dieses Felds.
spec.enableLegacyFields (Shutdown in 1.19.0) Bei true wird die Verwendung verworfener spec.git-Felder im ConfigManagement aktiviert, während noch immer der Multi-Repo-Modus verwendet wird. Wenn Sie dieses Feld festlegen, wird automatisch eine RootSync-Ressource im Cluster generiert.

Konfiguration für Policy Controller

Schlüssel Beschreibung
spec.policyController.enabled Wenn true, wird Policy Controller aktiviert. Die Standardeinstellung ist false.
spec.policyController.templateLibraryInstalled Wenn true, wird eine Bibliothek mit Einschränkungsvorlagen für gängige Richtlinientypen installiert. Die Standardeinstellung ist true.
spec.policyController.referentialRulesEnabled Wenn true, wird die Unterstützung für referenzielle Einschränkungen aktiviert. Informieren Sie sich über die Beschränkungen von Eventual Consistency. Die Standardeinstellung ist false.
spec.policyController.auditIntervalSeconds Zeitraum in Sekunden zwischen aufeinanderfolgenden Audits von Einschränkungsverstößen. Legen Sie 0 fest, um die Prüfung zu deaktivieren. Standard: 60.
spec.policyController.logDeniesEnabled Wenn true, werden alle Ablehnungen und Probelauffehler protokolliert. Die Standardeinstellung ist false.
spec.policyController.mutation.enabled Wenn true, wird die Unterstützung für Mutationen aktiviert. Der Standardwert ist false.
spec.policyController.exemptableNamespaces Eine Liste von Namespaces, die aus der Webhook-Erzwingung von Policy Controller entfernt werden sollen. Alle Verstöße werden weiterhin im Audit gemeldet. Die Standardeinstellung ist eine leere Liste.
spec.policyController.monitoring.backends Eine Liste mit Monitoring-Back-Ends, für die Policy Controller Messwerte exportieren kann. Standardeinstellung: [cloudmonitoring, prometheus].

Konfiguration für das Verhalten des ConfigManagement-Objekts

Schlüssel Beschreibung
spec.clusterName Der benutzerdefinierte Name für den Cluster, der von ClusterSelectors zum Gruppieren von Clustern verwendet wird. Er kommt innerhalb einer Config Sync-Installation nur einmal vor. Sie können dieses Feld nicht in der Google Cloud Console konfigurieren.

Beispiel für ein ConfigManagement-Objekt

apiVersion: configmanagement.gke.io/v1
kind: ConfigManagement
metadata:
  name: config-management
spec:
  clusterName: my-cluster
  enableMultiRepo: true

Konfiguration für Git-Repositories (verworfen)

Schlüssel Beschreibung
spec.git.gcpServiceAccountEmail Das Google Cloud-Dienstkonto, das zum Annotieren des Kubernetes-Dienstkontos des RootSync- oder RepoSync-Controllers verwendet wird. Dieses Feld wird nur verwendet, wenn spec.git.secretType den Wert gcpserviceaccount hat.
spec.git.syncRepo Die URL des Git-Repositorys, das als „Source of Truth“ verwendet werden soll. Erforderlich.
spec.git.syncBranch Der Zweig des Repositories, von dem aus synchronisiert werden soll. Standardeinstellung: master.
spec.git.policyDir Der Pfad im Git-Repository zu dem Stammverzeichnis mit der Konfiguration, die Sie synchronisieren möchten. Standard: Stammverzeichnis des Repositorys
spec.git.syncWait Der Zeitraum zwischen aufeinanderfolgenden Synchronisierungen. Standardeinstellungen: 15 s
spec.git.syncRev Git-Revision (Tag oder Hash) zum Auschecken. Standardeinstellung: HEAD.
spec.git.secretType Die Art des Secrets, das für den Zugriff auf das Git-Repository konfiguriert ist. Entweder ssh, cookiefile, token, gcenode, gcpserviceaccount oder none. Erforderlich.
spec.sourceFormat Das Format Ihres Git-Repositorys. Kann unstructured oder hierarchy sein. Standard: hierarchy.

Proxykonfiguration für das Git-Repository

Wenn Sie gemäß den Sicherheitsrichtlinien Ihrer Organisation Traffic über einen HTTP(S)-Proxy weiterleiten müssen, können Sie Config Sync für die Kommunikation mit Ihrem Git-Host über den URI des Proxys konfigurieren. Der Proxy wird nur unterstützt, wenn der Autorisierungstyp cookiefile, none oder token verwendet wird.

Schlüssel Beschreibung
spec.git.proxy.httpProxy Definiert eine Umgebungsvariable HTTP_PROXY für den Zugriff auf das Git-Repository.
spec.git.proxy.httpsProxy Definiert eine Umgebungsvariable HTTPS_PROXY für den Zugriff auf das Git-Repository.

Wenn sowohl das Feld httpProxy als auch das Feld httpsProxy angegeben wurde, wird httpProxy ignoriert.